Маршрутизация на основе адреса источника Juniper SRX

Возникают ситуации, когда из разных сетей офиса нужно направлять трафик по разным маршрутам. Приведу пример:

Есть 2 компании (или 2 отдела одной компании, кому как больше нравится) которым нужно выходить в интернет, через разных операторов, при этом находясь за одним фаерволом.

У компании «Flower inc.» сеть 192.168.0.0/24

У компании «Duck inc.» сеть 192.168.2.0/24

 

Считаем, что у нас в таблице маршрутизации маршрут по умолчанию в сеть 0.0.0.0/0 изначально прописан через  ISP-1:

admin@FW0# show routing-options static 
route 0.0.0.0/0 next-hop 1.1.1.1;

Но «Duck inc.» должна попадать в интернет через ISP-2.



Задача решается с помощью routing-instance, итак:

  1. Первым делом создаем routing-instance c именем, к примеру «NEW-ROUTER» и прописываем в нем статический маршрут в сеть 0.0.0.0/0 через маршрутизатор ISP-2:
    admin@FW0# set routing-instances NEW-ROUTER instance-type forwarding
    admin@FW0# set routing-instances NEW-ROUTER routing-options static route 0.0.0.0/0 next-hop 2.2.2.2
  2. Для импорта directly connected маршрутов в новый routing instance в ветке routing-options нам нужно указать, что у нас используется не только основная таблица маршрутизации но и routing-instance:
    admin@FW0# set routing-options interface-routes rib-group inet NEW-ROUTER
    admin@FW0# set routing-options rib-groups NEW-ROUTER import-rib inet.0
    admin@FW0# set routing-options rib-groups NEW-ROUTER import-rib NEW-ROUTER.inet.0
  3. После этого ,создаем правило фильтрации по адресу источника (адресу клиентской сети «Duck inc.»):
    admin@FW0# set firewall family inet filter FILTERNAME term 0 from source-address 192.168.2.0/24
    admin@FW0# set firewall family inet filter FILTERNAME term 0 then routing-instance NEW-ROUTER
    admin@FW0# set firewall family inet filter FILTERNAME term 1 then accept

    Примечание: Не забываем в конце сделать правило «then accept», как в примере, что бы фаервол пропустил дальше трафик, который не попал под условия правила.

  4. Теперь все готово, и осталось повесить фильтр на интерфейс, который смотрит в сторону «Duck inc.»:
    admin@FW0# set interfaces ge-0/0/2 unit 0 family inet filter input FILTERNAME

После применения конфигурации (commit) трафик из сети 192.168.2.0/24 в интернет пойдет через ISP-2.

Вот ссылка на статью в kb Juniper где разбирается аналогичная ситуация.

Ссылка на статью в kb Juniper, где разбирается не точно такая же но похожая ситуация, Filter Based Forwarding. Мне на практике пригодилась, когда после настройки балансировки нагрузки между двумя операторами связи появилась проблема, с тем что сеть, которая анонсировалась оператором связи за мой SRX стала не доступна, а вернее частично то доступна то нет, в зависимости от того на какого оператора на текущий момент балансировщик направлял трафик.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *